Donutwork Docs
Sicurezza & Trust

Sicurezza & Trust

Come Donutwork protegge operazioni cliente, accesso API, automazioni e dati di piattaforma.

Sicurezza & Trust

Donutwork e' un core operativo API-first per billing, workflow, partner, integrazioni e operativita' SaaS. Per questo la sicurezza non puo' essere una funzione separata: deve vivere in autenticazione, accesso API, automazioni, worker e recovery operativa.

Questa pagina riassume i controlli oggi presenti in Donutwork e il pacchetto di assurance disponibile per review cliente. Non dichiara certificazioni formali non ancora completate.

Postura di Assurance

  • Piattaforma control-oriented: i controlli sono progettati attorno a isolamento tenant, API scope, trace workflow e logging operativo.
  • Stato certificazioni: certificazioni formali non sono dichiarate qui se non espressamente elencate in un accordo cliente firmato.
  • Modello di review: le security review possono essere supportate con note architetturali, mappa permessi API, runbook operativi e dettagli subprocessor per ambiente.
  • Impegni cliente: uptime, supporto, data processing e impegni security sono regolati da order form o accordo applicabile.

Controlli Principali

Tenant & Session

Route company-scoped, membership check, idle timeout, OTP e MFA delegata con passkey dove abilitata.

API Scope

Bearer auth, OAuth scope, ACL route-level, rate-limit header e risposte esplicite insufficient-scope.

Workflow Governati

Approval gate, retry, wait state, dead-letter e trace per processi event-driven.

Tracciabilita' Operativa

Request ID, workflow trace, log operativi strutturati e percorsi di triage per billing, scheduler e workflow.

Confini Dati

Dati company su MongoDB, coordinamento Redis/Memcached, queue async e accesso scoped ai record business.

Gestione Segreti

La configurazione runtime resta fuori dalla documentazione pubblica e non vengono esposte credenziali o config sensibili.

Aree Coperte

AreaCosa Controlla Donutwork
Accesso web appValidazione sessione, membership company, enforcement OTP, redirect post-login sicuri.
API pubblicaBearer token, canonicalizzazione OAuth scope, ACL, rate-limit header, request ID.
BillingTransizioni stato charge, safeguard rinnovi ricorrenti, log strutturati per enqueue e renewal.
WorkflowApproval gate, retry, wait state, dead-letter, visibilita' trace.
Email e contenutiTemplate path safety, preflight, suppression list, filtro campi cliente sensibili.
Partner operationsRegole gruppi partner, vincoli stato payout, anti-duplicato nel recruitment.
Media e fileFilename safety, validazione MIME immagini, limiti size/pixel, re-encode server-side.

Trattamento Dati

Donutwork salva i record operativi in MongoDB e usa Redis, Memcached e Beanstalkd per cache, coordinamento e lavoro async. Email delivery, pagamenti, mobile push e alcune operazioni esterne possono usare provider configurati come SMTP/PHPMailer, Stripe, PayPal e APNS in base all'ambiente cliente.

Dettagli di deployment, subprocessor, retention, backup e data residency devono essere confermati durante onboarding o vendor review, perche' possono variare per ambiente e contratto.

Incident & Vulnerability Intake

Se sospetti una vulnerabilita' o un incidente operativo:

  1. Contatta il canale supporto o account Donutwork.
  2. Includi tenant impattato, endpoint, request ID, timestamp indicativo e passi di riproduzione.
  3. Non includere segreti in chiaro, private key, password o dati personali cliente se non e' stato concordato un canale sicuro.

Le segnalazioni security sono triagiate per severita' e instradate al platform owner corretto. Le notifiche cliente sono gestite in base all'accordo applicabile e all'impatto dell'incidente.

Target Interni di Affidabilita'

Donutwork monitora SLO interni per disponibilita' API, latenza API, ritardo esecuzione workflow, salute queue, completamento billing ricorrente, consegna webhook e incident response. Questi target interni servono alle operations engineering e non sostituiscono SLA contrattuali specifici.

Pacchetto Vendor Review

Per valutazioni enterprise, Donutwork puo' fornire un pacchetto review con:

  • panoramica architetturale e data-flow;
  • modello API authentication e OAuth scope;
  • riepilogo controlli security;
  • sintesi SLO operativi;
  • workflow di incident response;
  • lista subprocessor per ambiente quando applicabile;
  • modello supporto ed escalation.

On this page